¿Qué hacer ante un ciberataque a sus sistemas?

El reciente ataque a los sistemas empresariales de Sony, dejó claro que no hay empresa a salvo de la posibilidad de enfrentar una fuga de información. Las horas y días posteriores a un incidente de este tipo, son fundamentales para su organización.

De acuerdo con investigaciones de Symantec, las actividades de los hackers generan 57 por ciento de las fugas de información en el ámbito empresarial. Ya sea por elementos internos, o por acciones de ciberdelincuencia, se estima que más de 90 por ciento de las compañías han sufrido un ataque cibernético y sólo poco más de 40 por ciento cuenta con protocolos para subsanar los impactos de estas violaciones sobre los datos.

Así las cosas, los ataques y fugas de información corporativa son un dolor de cabeza, no solamente para los departamentos de TI, para los CIO y los especialistas en seguridad (Chief Security Office, CSO), sino también para los equipos y consejos directivos de las empresas. Hoy día es necesario que el personal esté enterado sobre los riesgos de ciberataques y las medidas para disminutir los riesgos. Pero mientras las organizaciones centran sus esfuerzos en que los intrusos no atraviesen la puerta, también deben asegurarse de tener una estrategia y un plan de acción, una vez que ya se ha producido una fuga o ciberataque.

Los días y semanas posteriores al momento en que ocurre un incidente de este tipo son críticos y pueden ser emocionalmente devastadores. Sobran las intenciones para el registro y análisis exhaustivo del ataque o la búsqueda de respuestas al incidente que bien podrían borrar con las evidencias del modus operandi de los atacantes. La verdad es que, si no se tiene el debido cuidado, mucho de lo que se haga puede resultar contraproducente a los esfuerzos forenses y podría conducir a problemas mayores. La clave es entender el flujo ideal de las acciones tras la fuga de datos, incorporar mejores prácticas y diseñar proactivamente un manual de acciones para estos casos.

En este sentido, uno de los pasos más importantes al momento de establecer un procedimiento para la atención de ataques es asegurar un conocimiento general de a quién se debe notificar cualquier indicio de ataque. Muchas veces, un incidente de seguridad importante no es identificado a la primera por la organización afectada. Saltan a la vista entre procedimientos de reclamo o procedimientos en el departamento legal, o porque se presentan en las relaciones con los socios comerciales o por quejas de los clientes. En cualquier caso lo recomendable es evitar que pase mucho tiempo antes que la evidencia de una violación a la seguridad llegue al escritorio del CEO o CIO u otro directivo, pues muchas veces quien originalmente detecta un incidente así no sabe a quién dirigirse.

La primera semana después de la fuga de datos

Una vez que el CIO y/o CSO tienen conocimiento del ataque se debe seguir un plan que conste de tres partes: direccionamiento del equipo de TI hacia la preservación de las pruebas, identificar las dimensiones del incidente y evaluar el alcance del ataque. Esto requiere un trabajo conjunto con equipo legal de la compañía para determinar qué aspectos de esta información debe ser compartida con el público, y asesorar al CIO y al CEO sobre la evolución y consecuencias de la fuga de datos y así actualizar a los accionistas y otros grupos de interés sobre la situación.

Un aspecto muy importante para el equipo de seguridad en TI (con la colaboración de un experto forense) debe ser cifrar los registros de eventos, los registros del firewall, el reconocimiento del tráfico excesivo en la red, barrer las nuevas cuentas de dominio, y revisar cualquier alerta de falla en la protección del punto final (endpoint protection). El administrador de sistemas de la organización también debe activar mecanismos de revisión en los registros (loggins) predeterminados en servidores y bases de datos que podrían estar afectados por el ataque. Esta revisión puede dar una idea de quién y cómo violó el sistema, sin embargo, es importante realizar una observación minuciosa, ya que algunos archivos pueden crecer rápidamente si están recolectando demasiados datos.

A veces, la primera reacción del personal de TI, desde la buena intención, es tratar de remediar el problema eliminando archivos o alterando las configuraciones después del incidente. Pero esto es un enfoque equivocado, ya que podría significar la destrucción de pruebas valiosas en algunas circunstancias. Los loggins no pueden ser alterados o removidos con el fin de preservar los datos (por ejemplo, algunos códigos visibles como de transacciones en SQL que en realidad fueron códigos de inyección en el ataque).

En cuanto a los registros del servidor, algunos códigos pueden revelar información detallada del ataque, y no debería haber mucha premura en convertirlos para poner a funcionar el sistema, pues al momento de reiniciar la producción los archivos se llenan rápidamente con nuevos datos empatando el sistema y causando problemas adicionales. El mejor enfoque es tratar a los archivos de registro, registros de errores o informes de antivirus como evidencia en una escena del crimen, centrándose en la preservación y el análisis.

Semana 1 a 3 después del incidente

A medida que el alcance del ataque es contenido por el equipo de TI y se analizan sus implicaciones, los departamentos de mercadotecnia y jurídico deberían comenzar a centrarse en la divulgación de más información a los clientes y audiencias clave con respecto al incidente. Este intercambio de información debe revelar los hechos de los ataques con honestidad y sin generar miedo, revelando cómo se ejecutó la infracción, o qué tan afectado quedó el sistema.

Es recomendable no hacer énfasis en el “quién” y el “cómo” de los hechos, para no comprometer cualquier investigación judicial en curso. Las leyes de divulgación varían según el país y tipo de empresa, de ahí la importancia de consultar al equipo legal para tener certeza de los requerimientos.

Ante las crecientes amenazas a la integridad de los datos de la empresa, actuar sin considerar un protocolo de atención a incidentes de seguridad en TI no es aceptable.  Se requiere un plan de comunicación, un programa de respuesta a incidentes y uno de crisis que incorpore a los directores de comunicación y marketing, así como el soporte del área legal y el equipo directivo de los diversos departamentos para lograr los mejores resultados y un frente común.

La coordinación entre departamentos es vital en las horas posteriores a una intromisión en los sistemas. Tener un plan y un manual de procedimientos y acciones reduce los riesgos. Un gran número de organizaciones pierde incluso los datos más valiosos a raíz de una fuga debido a tener poco o ningún plan de respuesta y comunicación. Cada incidente es diferente, pero si las organizaciones se adhieren a los principios rectores y documentan cómo responder a ciertos tipos de incidentes, estarán mejor preparadas para luchar contra éstos cuando se presenten. Y, si además las organizaciones se apoyan en tecnologías de protección como  Symantec Endpoint Protection  y Symantec Data Loss Prevention, los riesgos de ser víctima pueden reducirse.